2 TOP5 活跃网络病毒 本周, 中国反网络病毒联盟 (ANVA) 2 3 整理发布的活跃网络病毒如下表所示 其中, 利用网页挂马或捆绑下载进行传播的网络病毒所占比例较高, 病毒仍多以利用系统漏洞的 方式对系统进行攻击 ANVA 提醒互联网用户一方面要加强系统漏洞的修补加固, 安装具 有主动防御功

Transcription

1 国家互联网应急中心 网络安全信息与动态周报 2012 年第 44 期 10 月 22 日 -10 月 28 日 一 本周网络安全基本态势 优 良中差危 1 本周互联网网络安全指数整体评价为中 境内感染网络病毒的主机数约为 万个, 较上周环比减少了 10.3%; 无新增网络病毒家族 ; 境内被篡改政府网站数量为 76 个, 较上 周环比大幅增加了约 1.5 倍 ; 境内被植入后门的政府网站数量为 38 个, 较上周环比大幅降 低了 55.8%; 针对境内网站的仿冒页面数量为 2689 个, 较上周环比大幅上升了 51.1%; 新 增信息安全漏洞 119 个, 较上周环比大幅减少了 48%, 其中新增高危漏洞 38 个, 较上周大 幅减少了 30.9% 本周网络病毒活动情况 1 网络病毒监测情况本周境内感染网络病毒的主机数约为 万个, 较上周环比减少了 10.3% 其中, 境内被木马或被僵尸程序控制的主机约为 48.2 万个, 较上周环比降低了 25.8%; 境内感染飞客 (conficker) 蠕虫的主机约为 万个, 较上周环比减少了 1.8% 木马或僵尸程序受控主机在我国大陆的分布情况如下图所示, 其中红色区域是木马和僵尸程序感染量最多的地区, 排名前三位的分别是广东省约 8.2 万个 ( 约占中国大陆总感染量的 17.1%) 山东省约 3.8 万个 ( 约占中国大陆总感染量的 7.9%) 和河南省约 3.5 万个 ( 约占中国大陆总感染量的 7.3%) 注 1: 一般情况下, 恶意代码是指在未经授权的情况下, 在信息系统中安装 执行以达到不正当目的的程序 其中, 网络病毒是特指有网络通信行为的恶意代码 1

2 2 TOP5 活跃网络病毒 本周, 中国反网络病毒联盟 (ANVA) 2 3 整理发布的活跃网络病毒如下表所示 其中, 利用网页挂马或捆绑下载进行传播的网络病毒所占比例较高, 病毒仍多以利用系统漏洞的 方式对系统进行攻击 ANVA 提醒互联网用户一方面要加强系统漏洞的修补加固, 安装具 有主动防御功能的安全软件, 开启各项监控, 并及时更新 ; 另一方面, 建议互联网用户使 用正版的操作系统和应用软件, 不要轻易打开网络上来源不明的图片 音乐 视频等文件, 不要下载和安装一些来历不明的软件, 特别是一些所谓的外挂程序 名称 Trojan.Script.JS.Agent.ds Hack.Exploit.SWF.Binx!48 96 特点该主页劫持脚本病毒通过捆绑下载的方式传播, 会修改用户主页 该溢出脚本病毒通过网页挂马的方式传播, 会利用 swf 漏洞 Binary convert by activescript 构造特殊 swf 文件, 触发漏洞点, 执行 shellcode, 下载恶意程序 注 2: 中国反网络病毒联盟 (Anti Network-Virus Alliance of China, 缩写 ANVA) 是由中国互联网协会网络与信息安全工作委员会发起 CNCERT 具体组织运作的行业联盟 反网络病毒联盟依托 CNCERT 的技术和资源优势, 通过社会化机制组织开展互联网网络病毒防范 治理相关的信息收集发布 技术研发交流 宣传教育 联合打击等工作, 并面向社会提供信息咨询 技术支持等服务, 以净化公共互联网网络环境, 提升互联网网络安全水平 注 3: 根据瑞星 金山 奇虎 360 江民等企业报送的网络病毒信息整理 2

3 Hack.Exploit.Script.JS.Buc ode.i Trojan.Script.VBS.Dole.a Hack.Exploit.Script.JS.Ifra me.ac 该溢出脚本病毒通过网页挂马的方式传播, 会指向病毒网站下载其他病毒 该木马病毒通过捆绑下载的方式传播, 会释放 CAD 病毒脚本文件 该溢出脚本病毒通过网页挂马的方式传播, 会指向病毒网站下载其他病毒 3 网络病毒捕获和传播情况 本周,CNCERT 捕获了大量新增网络病毒文件 4 5, 其中按网络病毒名称统计新增 个, 较上周环比减少了 1.6%; 按网络病毒家族统计无新增 网络病毒主要对一些防护比较薄弱或者访问量较大的网站通过网页挂马的方式进行传 播 当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后, 会经过多级跳转暗中连 接黑客最终 放马 的站点下载网络病毒 本周,CNCERT 监测发现排名前十的活跃放马站 点域名和活跃放马站点 IP 分别如下两表所示 排序 活跃放马站点域名 排序 活跃放马站点 IP download.cpudln.com hn.cnysfl.com msn.xuexue123.com hardertodetect.ru hardertolocate.ru cadimportinc.com shao360.vicp.cc 网络病毒在传播过程中, 往往需要利用黑客注册的大量域名 本周,CNCERT 监测发现的放马站点中, 通过域名访问的共涉及有 434 个, 通过 IP 直接访问的共涉及有 194 个 在 434 个放马站点域名中, 于境内注册的域名数为 104 个 ( 约占 24%), 于境外注册的域名数为 309 个 ( 约占 71.2%), 未知注册商所属境内外信息的有 21 个 ( 约占 4.8%) 下图为这些放马站点域名按所属顶级域的分布情况, 排名前三位的是.com( 约占 54.6%).info( 约占 9.9%).cn( 约占 9.4%) 注 4: 网络病毒文件是网络病毒的载体, 包括可执行文件 动态链接库文件等, 每个文件都可以用哈希值唯一标识 注 5: 网络病毒名称是通过网络病毒行为 源代码编译关系等方法确定的具有相同功能的网络病毒命名, 完整的命名一般包括 : 分类 家族名和变种号 一般而言, 大量不同的网络病毒文件会对应同一个网络病毒名称 注 6: 网络病毒家族是具有代码同源关系或行为相似性的网络病毒文件集合的统称, 每个网络病毒家族一般包含多个变种号区分的网络病毒名称 3

4 此外, 通信行业互联网信息通报成员单位向 CNCERT 共报送了 32 个恶意域名或 IP( 去 重后 ), 各单位报送数量统计如下图所示 针对 CNCERT 自主监测发现以及各单位报送数据,CNCERT 积极协调域名注册机构等进行处置 ( 参见本周事件处理情况部分 ), 同时通过 ANVA 在其官方网站上发布恶意地址黑名单 ( 详细黑名单请参见 : 请各网站管理机构注意检查网站页面中是否被嵌入列入恶意地址黑名单的 URL, 并及时修补漏洞, 加强网站的安全防护水平, 不要无意中成为传播网络病毒的 帮凶 4

5 7 本周网站安全情况 根据 CNCERT 监测数据, 本周境内被篡改网站数量为 1132 个, 较上周环比大幅增加 了约 2.1 倍 境内被篡改网站数量按类型分布情况如下图所示, 数量最多的仍是 COM 类网 站 其中,GOV 类网站有 76 个 ( 约占境内 6.7%), 较上周环比大幅增加了约 1.5 倍 本周协调处理的部分被篡改政府网站 ( 网站所属机构标为省 市 区单位的 gov.cn) 的列表如下, 其中是否恢复是截止到 10 月 29 日 12 时前的验证结果 被篡改网站 所属地区 是否恢复 四川省 否 山东省 否 黑龙江省 否 湖南省 否 山东省 是 jcjga.gov.cn 广西壮族自治区 否 ncghj.gov.cn 重庆市 否 山东省 是 山东省 否 本周监测发现境内被植入后门的网站数量为 874 个, 较上周环比大幅减少了 64.1%, 按类型分布情况如下图所示, 数量最多的仍是 COM 类网站 其中,GOV 类网站有 38 个 注 7:CNCERT 根据网站的域名对其进行分类, 其中 COM 代表商业机构 GOV 代表政府部门 NET 代表网络组织 ORG 代表非盈利组织 EDU 代表教育机构 BIZ 代表商业等 我国境内政府网站是指英文域名以.gov.cn 结尾的网站, 但不排除个别非政府部门也使用.gov.cn 的情况 表格中仅列出了被篡改网站或被挂马网站的域名, 而非具体被篡改或被挂马的页面 URL 5

6 ( 约占境内 4.3%), 较上周环比大幅减少了 55.8% 根据通信行业各互联网信息通报成员单位报送数据, 本周共发现境内被挂马网站数量 为 159 个 ( 去重后 ), 较上周环比下降了 6.5% 其中,GOV 类网站有 30 个 ( 约占境内 18.9%), 较上周环比大幅减少了 48.3% 各单位报送数量如下图所示 截至 10 月 29 日 12 时, 仍存在被挂马或被植入不正当广告链接 ( 如 : 网络游戏 色情 网站链接 ) 的政府网站如下表所示 被挂马或被植入不正当广告链接的网站 xw.yuanjiang.gov.cn 所属地区 贵州省 湖南省 6

7 phdm.pinghu.gov.cn 浙江省 此外, 网站面临的另一类安全威胁是网页仿冒, 即黑客通过构造和散播与某一目标网站高度相似的页面 ( 俗称钓鱼网站 ), 诱骗用户访问, 以获取用户个人秘密信息 ( 如银行账号和账户密码 ) 本周 CNCERT 监测发现针对境内网站的仿冒页面数量为 2689 个, 较上周环比大幅增加了 51.1% 其中, 仿冒页面涉及域名 770 个,IP 地址 333 个, 平均每个 IP 地址约承载了约 8 个仿冒页面 本周事件处理情况 1 本周处理各类事件数量对国内外通过电子邮件 热线电话 传真等方式报告的网络安全事件, 以及自主监测发现的网络安全事件,CNCERT 根据事件的影响范围和存活性 涉及用户的性质等因素, 筛选重要事件进行协调处理 本周,CNCERT 通过与基础电信运营商 域名注册服务机构的合作机制, 以及反网络病毒联盟 (ANVA) 的工作机制, 共协调处理了 277 起网络安全事件 2 本周恶意域名和恶意服务器处理情况依据 中国互联网域名管理办法 和 木马和僵尸网络监测与处置机制 等相关法律法规的规定, 本周 ANVA 在中国电信等基础电信运营企业以及爱名网 花生壳 江苏邦宁 三五互联 商务中国 上海有孚 万网 西维数码 希网 新网互联 新网数码等域名注册服务机构的配合和支持下, 并通过与境外域名注册商和国际安全组织的协作机制, 对 174 个境内外参与传播网络病毒或仿冒网站的恶意域名或服务器主机 IP 采取了处置措施 详细列表如下所示 8 处置原因处置域名列表处置服务器列表 传播恶意代码 shao360.vicp.cc cdn.baidupcs.com dl.chedan8.com lv.srmya.com * * * * * * * * * * 注 8:CNCERT 不公开服务器的具体 IP, 其中 * 代表数字 0-255, 可能会出现同一 C 段的多个 IP 使用相同的表示方式 7

8 仿冒中国银行 仿冒农业银行 bcooh.com bocby.com boccna.com boccnj.com boccns.com bococwh.com boobcb.com boocbc.com bxboc.com byboc.com dwboc.com fusenet1.5gbfree.com fxboc.com gwboc.com iobc.cura.jumpingcrab.com letraw.ignorelist.com lnease.jumpingcrab.com lsboc.com ssboc.com wcboc.com xfboc.com xwboc.com boccomjkju89q.xicp.net booc.bawrae.cu.cc ccbcomkj8093.vicp.cc ccbconmju87qq.oicp.net detarl.js s.ljnewr.tk dfgdgbn.com dso66.tk ebs-boc-cn.de.lv hgfw1.f3322.org icbccomn12q.eicp.net jhfjkt.tk jiqngluoliao.567bbs.com jydhe.info lailewo117.xicp.net lailewo121.vicp.cc shaziguazi51.eicp.net shaziguazi52.eicp.net wiesi.rr.nu * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 8

9 仿冒农业银行仿冒浙江卫视仿冒央视网站仿冒淘宝网站仿冒湖南卫视仿冒微信仿冒其他网站 www-khkgkh.567bbs.com yyoo11.cn22.zridc.net detarl.js s.ljnewr.tk jhfjkt.tk shaziguazi51.eicp.net shaziguazi52.eicp.net voiea.com cztvkd.com haosey35.com haoshsmtv.com haosyim.com hasykn3.com hasyr7.com hasyu7.com henadi.com hsy627.com hsy88t.com jjkhx.com kz9688.com zjagg.com zsaoz.com zxjtvmx.com 1-b.in ccntvh88.com ckxg3.com hsyq6.com xg3xg.com ggi6.com taobao-7.com taobao8-6.com taobao9-8.com achntv.com wexzv.com 2012qqweixin.com fkbor.com spokrw.net 本周重要安全漏洞本周, 国家信息安全漏洞共享平台 (CNVD) 9 整理和发布以下重要安全漏洞, 详细的漏洞信息请参见 CNVD 漏洞周报 ( 1 Exim 邮件服务软件堆缓冲区溢出漏洞 Exim 是由英国剑桥大学的研究组织开发的一款开源邮件服务软件, 主要用于搭建邮件服务器或用作接收和发送邮件的客户端代理程序 该软件由于配置简单, 功能灵活, 可运行于大多数类 UNIX 系统上, 如 :Solaris AIX Linux 等, 近年来在国内外应用较为广泛 一些厂商发行的 Linux 操作系统版本中也默认集成了 Exim 软件或 Exim 软件源, 如 :Redhat Debian Ubuntu 等 CNVD 收录的相关漏洞包括 :Exim 堆缓冲区溢出漏洞, 漏洞的综合评级均为 高危 Exim 默认安装下集成启用的用于支持 DKIM( 域名密钥识邮件标准 ) 的功能模块中存在漏洞, 由于该模块未能正确处理相应参数, 导致堆缓冲区溢出 攻击者可以向服务器发起远程攻击, 严重的可以获得服务器主机管理权限 目前, 厂商已经修复了上述漏洞,CNVD 注 9:CNVD 是 CNCERT 联合国内重要信息系统单位 基础电信运营商 网络安全厂商 软件厂商和互联网企业建立的信息安全漏洞信息共享知识库, 致力于建立国家统一的信息安全漏洞收集 发布 验证 分析等应急处理体系 9

10 提醒相关用户尽快下载补丁更新, 避免引发漏洞相关的网络安全事件 2 Adobe 产品安全漏洞 Adobe Shockwave Player 是一款播放器插件 本周, 该产品被披露存在多个安全漏洞, 攻击者利用漏洞可执行任意代码 CNVD 收录的相关漏洞包括 :Adobe Shockwave Player 索引错误漏洞 Adobe Shockwave Player 缓冲区溢出漏洞 (CNVD CNVD CNVD CNVD CNVD ) 上述漏洞的综合评级均为 高危 目前, 厂商已经修复了上述漏洞,CNVD 提醒相关用户尽快下载补丁更新, 避免引发漏洞相关的网络安全事件 3 WordPress 插件安全漏洞 WordPress 是一款使用 PHP 语言开发的内容管理系统 本周, 该产品的多个插件被披露存在多个安全漏洞, 攻击者利用漏洞可获得敏感信息, 发起跨站脚本攻击和浏览器点击劫持攻击, 执行任意代码 CNVD 收录的相关漏洞包括 :WordPress 插件 White Label CMS 跨站脚本漏洞 WordPress 插件 White Label CMS 跨站请求伪造漏洞 WordPress 插件 Wordfence ' ' 跨站脚本漏洞 WordPress 插件 Thank You Counter Button'paged' 跨站脚本漏洞 WordPress 插件 Zingiri Bookings 'error' 跨站脚本漏洞 WordPress 插件 Zingiri Form Builder'error' 跨站脚本漏洞 WordPress Spider Calendar 插件 'many_sp_calendar' 跨站脚本漏洞 WordPress 插件 UnGallery 'search' 参数远程任意命令执行漏洞等 其中, WordPress 插件 UnGallery 'search' 参数远程任意命令执行漏洞 的综合评级为 高危 目前, 厂商已经修复了上述漏洞,CNVD 提醒相关用户尽快下载补丁更新, 避免引发漏洞相关的网络安全事件 4 IBM 产品安全漏洞 IBM XIV Storage System 是海量磁盘存储系统 ;IBM DB2 Universal Database Server 是一款大型的商业关系数据库 ;IBM AIX 是一款商业性质的操作系统 本周, 上述 IBM 产品被披露存在多个安全漏洞, 攻击者利用漏洞可访问其他受限文件, 触发基于栈的缓冲区溢出, 发起拒绝服务攻击 CNVD 收录的相关漏洞包括 :IBM AIX FTP 客户端安全绕过漏洞 IBM DB2 产品远程栈缓冲区溢出漏洞 多个 IBM XIV Storage System 产品拒绝服务漏洞 其中, IBM DB2 产品远程栈缓冲区溢出漏洞 和 多个 IBM XIV Storage System 产品拒绝服务漏洞 的综合评级均为 高危 厂商已经修复了上述漏洞,CNVD 提醒相关用户尽快下载补丁更新, 避免引发漏洞相关的网络安全事件 10

11 5 Interspire Marketer 安全漏洞 Interspire Marketer 是一个基于 Web 的电子邮件营销解决方案 本周, 该产品被披露存在多个漏洞, 远程攻击者利用漏洞可访问或修改数据, 或利用基础数据库中的潜在漏洞, 执行恶意 HTML 和脚本代码 CNVD 收录的相关漏洞包括 :Interspire Marketer SQL 注入漏洞 Interspire Marketer 存在多个 HTML 注入漏洞 Interspire Marketer 'Action' 跨站脚本漏洞 其中, Interspire Marketer SQL 注入漏洞 的综合评级为 高危 厂商尚未发布上述漏洞的修补程序,CNVD 提醒广大用户随时关注厂商主页以获取最新版本, 避免引发漏洞相关的网络安全事件 6 VAM Shop SQL 注入漏洞 VAM Shop 是一款基于 WEB 的应用程序 本周,VAM Shop 被披露存在一个综合评级为 高危 的 SQL 注入漏洞 攻击者利用漏洞可获得数据库信息或控制应用系统 目前, 互联网上已经出现了针对该漏洞的攻击代码, 厂商尚未发布该漏洞的修补程序 CNVD 提醒广大用户随时关注厂商主页以获取最新版本 更多高危漏洞见下表所示, 详细信息可根据 CNVD 编号, 在 CNVD 官网 ( 进行查询 CNVD 编号漏洞名称综合评级修复方式 CNVD CNVD CNVD CNVD CNVD TIBCO Formvine 已经修复此漏洞, 建 TIBCO Formvine 未授权高议用户下载使用 : 访问安全绕过漏洞 Kunena 'search' 参数 SQL 注入漏洞 高 暂无 Symphony 'symphony/system/authors/ 高 暂无 edit' SQL 注入漏洞 F5 FirePass HF-70-7 或 HF 已经修复此漏洞, 建议用户下载使用 : F5 FirePass 远程 SQL 注入 13000/800/sol13826.html 高漏洞 /800/sol13818.html /600/sol13656.html Joomla Tags 组件 'tag' 参数高暂无 SQL 注入漏洞 CNVD-2012 Drupal 任意 PHP 代码执行高目前厂商已经发布了升级补丁以修复这个安 11

12 漏洞 (CNVD ) 全问题, 请到厂商的主页下载 : CNVD-2012 Dolibarr 存在多个 SQL 注高暂无 入漏洞用户可参考如下厂商提供的安全公告获得补丁信息 : CNVD-2012 多个 HP 产品信息泄露漏高 洞 ublic/kb/docdisplay?docid=emr_na-c CNVD-2012 ATutor AContent 安全绕过高暂无 密码修改漏洞 Campaign Enterprise 已经修复此漏 CNVD-2012 Campaign Enterprise 'UID' 高洞, 建议用户下载使用 : SQL 注入漏洞 小结 : 本周,Adobe Shockwave Player Interspire Marketer 以及 WordPress 的多款插件被披露存在多个安全漏洞, 攻击者利用漏洞可获得敏感信息或执行任意代码 IBM 的多款产品也被披露存在多个漏洞, 攻击者利用漏洞可访问其他受限文件, 触发栈缓冲区溢出, 发起拒绝服务攻击 VAM Shop 被披露存在零日漏洞, 建议采用该软件的用户随时关注厂商主页, 及时获取修复补丁或解决方案 本周, 互联网上应用广泛的开源邮件服务软件 Exim 被披露存在一个高危漏洞 (CNVD 收录编号 :CNVD ) 利用漏洞可以发起针对邮件服务器的远程攻击, 构成信息泄露和运行安全风险 CNVD 发布了关于开源邮件服务软件 Exim 存在高危漏洞的重要安全通报, 建议相关用户及时下载软件最新版本, 完成可用性测试后做好升级部署 如因业务关系暂时无法升级的, 可以通过临时禁用支持 DKIM 功能来防范漏洞攻击威胁 二 业界新闻速递网络安全事件与威胁 1 韩国国会议员办公室 38 人电脑被黑致资料外泄中新网 10 月 22 日电据韩国 朝鲜日报 10 月 22 日报道, 资料显示, 从 2008 年到今年 9 月的 5 年间, 韩国国会外交通商委员和国防委员办公室的电脑遭黑客袭击, 被黑的电脑分别属于 38 名职员 据韩国国会秘书处等 10 月 21 日向新国家党议员申宜真提交的资料, 隶属外交通商委和国防委的朝野议员的办公室电脑被植入恶意代码, 导致资料外泄 虽然国会秘书处在资料中表示 不清楚议员办公室外泄信息的详细目录, 但是申宜真方面表示, 据了解, 当时遭受攻击的议员办公室的电脑内, 存有国防部预算和防卫事业厅提交的资料, 以及六方会谈资料等 2008 年被黑的外交通商委议员办公室的电脑一共外泄

13 份文件 有 34 名职员的电子邮箱密码被泄露 据悉, 具有代表性的被黑议员有 2010 年民主党议员宋旻淳 ( 外交通商委 ) 2011 年大国家党议员金章洙 ( 国防委 ) 等 此外, 从今年初至 9 月,17 名朝野议员办公室的职员的邮箱密码因电脑被黑而外泄, 但大部分都不是公用邮箱, 而是普通商用邮箱的密码 申宜真方面表示, 邮箱密码外泄, 意味着各部门发送给相关议员的资料, 会神不知鬼不觉地泄密 损失可能远远超出预期 2 巴诺书店 63 家分店销售终端机遭黑客入侵腾讯科技讯北京时间 10 月 24 日消息, 巴诺书店 (Barnes &Noble) 在美国的 63 家分店的销售点终端机遭到黑客入侵, 导致部分用户的信用卡信息被泄露 巴诺书店最早于 9 月 14 日发现该问题, 但为了配合美国联邦调查局 (FBI) 的调查, 直至近日才公布该消息 巴诺书店称, 黑客入侵了美国 63 家分店的销售点终端机, 包括纽约市 圣迭戈市 (San Diego) 迈阿密和芝加哥分店 发现该问题后, 巴诺书店已经卸载了数百家分店的 7000 多部销售点终端机 巴诺书店在一份声明中称 : 顾客现可以利用读卡器刷卡来安全交易 巴诺书店还表示, 已经提醒用户更改个人身份信息号码, 关注信用卡动态 此外, 巴诺书店还与银行和发卡单位密切配合, 以防止用户信用卡被滥用 巴诺书店表示, 其顾客数据库安然无恙 另外, 通过 BarnesandNoble.com Nook 和 Nook 应用进行购买的顾客不受影响 3 廉价智能机普及致病毒蔓延网络犯罪数量激增凤凰科技讯北京时间 10 月 25 日消息市场调研机构 NPD DisplaySearch 预计从 2010 年到 2016 年间, 智能手机的销量将实现每年翻番, 而廉价智能手机 ( 售价不到 150 美元的智能手机 ) 的销量将从 2010 年的 450 万部增加到 2016 年的 3.11 亿部 伴随这一增长, 另一种安全隐患也悄然增长, 即通过廉价智能手机进行的网络犯罪直线上升 当然, 目前已有大量恶意软件和手机病毒存在 美国互联网犯罪投诉中心 (IC3:Internet Crime Complaint Center) 在本月初曾宣布, 各种恶意软件对谷歌 Android 操作系统的攻击呈现增长趋势 ; Loozfon 和 FinFisher 是其中两个最重要的恶意攻击软件,Loozfon 是一种信息窃取软件, 能够窃取用户地址薄中上联系人的详细信息, 而 FinFisher 是一种远程控制软件, 使黑客轻易实现远程控制受害用户设备 随着大量廉价智能机的出现, 当前的问题可能只会变得更加糟糕, 因为那些低成本智能手机在设计上缺少一些安全功能, 比如由美国网络犯罪投诉中心和其它安全机构推荐的一些重要安全功能 此外, 开源的 Android 系统受到了用户的青睐, 但其开源特性也给黑客攻击打开了方便之门, 尤其为那些长期在该平台上寻找漏洞的黑客们提供了方便 在今年 3 月份举行的欧洲黑帽大会上, 安全研究人员发现 Android 操作系统是恶意软件活动最为猖獗 最为严重的一个移动平台 在发展中国家的智能机市场上这一现象更为严重 由于在这些市场上用户大多寻找免费应用, 或者绕开官方 付费 下载, 最终以免费方式获得了付费应用, 但其结果是使更多的恶意软件被安装到手机上 4 研考 资格考接踵而至复习资料成黑客诱骗 鱼饵 13

14 和讯网 10 月 22 日消息 10 月份以来, 各种考试报名纷至沓来, 研究生 会计 教师从业资格等都在面向社会招生 招考, 全社会因此掀起一股考试热 一时间, 考试的相关话题备受关注, 尤其是考试复习资料成为许多人在线寻找的重点 由此, 近期复习资料成为网上欺诈 诱饵 近期, 各种考试教材贩售的信息充斥网络, 许多广告都带有强烈的迷惑性, 以 成套购买附送绝密资料 市面最低价 等为宣传口号, 吸引网友点击 许多此类广告其实都是钓鱼网站撒下的陷阱, 网友一旦在上面购买书籍, 轻则被骗取钱款, 重则银行卡被盗, 卡内资金被洗劫一空 同时, 不法分子通常会通过网络传播所谓 押题 的消息, 这些小道消息大都是骗子抛出的诱饵, 网友一旦付钱给 押题 者, 这些骗子得钱后就会立刻消失得无影无踪 目前发现, 这些病毒文件通常以 考试技巧 真题 复习资料 命名, 诱骗网友点击下载 用户电脑中毒后, 电脑完全被黑客操纵 安全厂商提醒, 在网上一旦遇到 exe chm rar 格式的考试资料时, 网友需多加小心, 一旦不慎下载到病毒, 电脑可能被黑客植入后门病毒, 个人隐私信息和账号密码被盗的威胁也就随之而来 5 钓鱼网站采用多层伪装网易 10 月 22 日消息国内安全厂商监测发现, 近期有不少钓鱼欺诈网站开始采用 多层伪装 技术以骗取网民钱财 钓鱼网站用一个正常网页 充门面, 并通过关键词优化或付费推广使其在搜索引擎上排名前列, 而网页中的链接则指向真正的钓鱼网站 专家举例称, 当用户在搜索引擎中以 移动在线充值网上营业厅 为关键字搜索, 某钓鱼网站排名非常靠前 进入后点击 为手机充值, 则会跳转至另一个模仿 的钓鱼网站 除此之外, 还有很多网银的钓鱼网站也应用了 多层伪装 据媒体报道, 广州的徐先生就是在某搜索引擎中点击了位于第一位的 光大银行 钓鱼网站, 最终被骗 4 万元 ; 无独有偶, 合肥的荆先生也被类似钓鱼网站骗走了 30 万 由于钓鱼网站服务器多来自境外, 一旦被安全软件或网监封杀, 就会 变脸 改用另一域名继续作恶, 加大了监管难度 安全专家提醒网民, 用户在网上汇款时, 建议从正规渠道进入网上银行, 并认准网银的 https 前缀和浏览器上的 锁 形标识 同时, 如遇到通过聊天工具发来的充值请求和链接, 除谨慎点击外, 最好第一时间确认对方身份, 以免被骗 关于国家互联网应急中心 (CNCERT) 国家互联网应急中心的全称是国家计算机网络应急技术处理协调中心 ( 英文简称是 CNCERT 或 CNCERT/CC) 成立于 1999 年 9 月, 是工业和信息化部领导下的国家级网络安全应急机构, 致力于建设国家级的网络安全监测中心 预警中心和应急中心, 以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能, 支持基础信息网络的安全防护和安全运行, 支援重要信息系统的网络安全监测 预警和处置 国家互联网应急中心在我国 14

15 大陆 31 个省 自治区 直辖市设有分中心 联系我们如果您对 CNCERT 网络安全信息与动态周报 有何意见或建议, 欢迎与我们的编辑交流 本期编辑 : 徐艺航网址 : cncert_report@cert.org.cn 电话 :